UPD: Telegramm-Chat zur Diskussion der Ausrüstung Zyxel
@zyxelru tg.guru/zyxelru
Mikrotik-Router sind aus Sicht eines Netzwerktechnikers schick. Mit ihnen können Sie unglaublich komplexe Netzwerklösungen erstellen. Und die Ausrüstung kostet lächerliches Geld.
Für kleine und mittlere Unternehmen, die nicht mit der IT-Branche verbunden sind, ist die Installation jedoch äußerst schwierig. Um RouterOS ordnungsgemäß zu konfigurieren, muss ein Geschäftsmann einen Auftragnehmer einstellen, der auf diese Geräte spezialisiert ist, oder seinen Systemadministrator schulen. Im ersten Fall teuer, im zweiten - lange Zeit ... und wieder teuer.
Die Sicherheitsanfälligkeit in WinBox (
CVE-2018-14847 ) hat gezeigt, dass nur wenige Benutzer RouterOS korrekt konfigurieren können. Und diejenigen, die Update-Firmware einrichten, äußerst selten. Trotz der Tatsache, dass die neueste anfällige Version 6.42 am 20. April 2018 veröffentlicht wurde, machte
mein Artikel über Habr weltweit ein Geräusch. Leute, die
gerade entdeckt haben, dass ihr Router durch diese Sicherheitsanfälligkeit gehackt wurde, schreiben mir weiterhin ...
Preis-Leistungs-Verhältnis Mikrotik spielt nicht immer zugunsten des Verbrauchers. Meine Aufgabe: Netzwerkgeräte zu finden, die nach dem Bestehen des "Masters" maximale Funktionalität für ein kleines Büro mit bis zu 50 Personen bieten. Darüber hinaus ist eines der Hauptkriterien die Sicherheit. In der Tat sollte das Logistikunternehmen beispielsweise über die Geschwindigkeit der Zustellung des Pakets an den Kunden besorgt sein und nicht über das abfallende Netzwerk und das „hängende“ Terminal.
Das Outsourcing kam zu mir, als ein kleines Büro expandierte und die Installation eines Netzwerks auf der Basis eines Zyxel-Hardware-Kits anordnete: ATP 200-Gateway, zwei Wi-Fi-Punkte und ein PoE-gesteuerter Switch. Die Erfahrung erwies sich als sehr interessant, da ich Zyxel immer vernachlässigt habe.
Keenetic nicht ZyxelWie ich weiß, erschien Keenetic als benutzerdefinierte Firmware für Zyxel-Router, die das Unternehmen verwahrte. Im Jahr 2016 trennte sich Scharfsinn von Zyxel und begann, eigene Geräte zu produzieren.
Keenetic hat also nichts mehr mit Zyxel zu tun.
Bevor ich Zyxel in meine Arme nahm, fragte ich die Meinungen der Netzwerker meiner Freunde, wie sie sich auf dieses Gerät beziehen:
„Wir legen es nicht in unseren Rechenzentren ab, da dies keine Unternehmensentscheidung ist. Aber unsere Kunden setzen Auftragnehmer ein. Es funktioniert einfach ... Setzen und vergessen. "
Sicherheit
Natürlich bin ich geklettert, um registrierte
CVE (Common Vulnerabilities and Exposures) zu sehen .
CVE registriert für 2018:
→
D-Link - Dofiga→
RouterOS - 6 Schwachstellen, von denen es immer noch Schluckauf gibt ....→
Cisco - mehr als D-LinkSogar der wenig bekannte
Eltex aus Nowosibirsk hat 5 Schwachstellen.
Zyxel 7 anfällige Netzwerke .
Zyxel amüsierte mich mit der Sicherheitsanfälligkeit CVE-2018-9149 mit einer maximalen Gefahrenbewertung:
Das Zyxel Multy X-Gerät (AC3000 Tri-Band WiFi System) verwendet keinen geeigneten Mechanismus zum Schutz des UART. Nachdem ein Angreifer das Gerät zerlegt und das Gerät mit einem USB-zu-UART-Kabel verbunden hat, kann er sich mit dem Kennwort 1234 für das Root-Konto beim System anmelden. Darüber hinaus kann ein Angreifer den TELNET-Dienst des Geräts als Hintertür starten.
Erinnert sich sofort an Aufnahmen Ihrer Lieblingsspionage-Militanten, bei denen die Hauptfigur / der Hauptschurke mit einem Seil in die Basis eindringt und sich an eine Box mit Kabeln klammert, um Atomraketen zu stoppen / zu starten, die auf ...
* denken Sie selbst * .
Das heißt, um diese Sicherheitsanfälligkeit auszunutzen, muss ein Angreifer über ein spezielles
USB-zu-UART- Kabel eine
physische Verbindung zu einem Wi-Fi-Punkt herstellen!
Ich habe keine Fragen zur CVE-Zuverlässigkeit von Zyxel.
Auspacken
Kisten sind gekommen und die Wände sind noch gestrichen. Zu Hause auspacken.
Mein erster Eindruck ist Gewicht! Der ATP 200 wiegt aufgrund seiner geringen Größe (272 x 36 x 187 mm) 1,4 kg. Access Points sind auch deutlich schwerer als Ubiquiti.
In den gepunkteten Kästchen befanden sich keine Netzteile. Solche Geräte mit angemessener Installation werden von PoE gespeist. Hierfür wurde der verwaltete Switch GS1200-5HP gekauft.
Erste Aufnahme
Ich habe den ATP200 mit einem Kabel über den P4-Port (von LAN) des Gateways an den Laptop angeschlossen. In wan1 habe ich ein kabelgebundenes Internet angeschlossen, in USB1 E3272 mit Hi-Link-Firmware und in USB2 mein Android-Handy im Modus „USB-Modem“. Es wurde ungefähr eine Minute lang geladen. Weiter auf "Schnellstart" stieg ich auf 192.168.1.1. Hier erwartete mich der erste Ärger. Webmord funktioniert mit SSLv3, das in modernen Browsern deaktiviert ist. Wir schließen ein:
Wenn Sie sich zum ersten Mal anmelden, können Sie im Gegensatz zu RouterOS nicht zum nächsten Schritt übergehen, ohne Ihr Kennwort zu ändern. Als nächstes startet der „Assistent“, in dem ich angegeben habe, dass ich den zweiten Port wan verwenden möchte (p3). Der "Master" hat keine zusätzlichen Geräte gesehen.
Dienste auch standardmäßig verlassen.
Da ich drahtlose Punkte habe, schalte ich den WiFi-Controller sofort ein:
Ein weiteres Plus an Sicherheit: Die äußerst gefährliche Funktion ist standardmäßig deaktiviert:
Wir melden uns erneut an und eine Benachrichtigung über eine neue Firmware kommt sofort an.
Das ist alles! Ein Laptop surft im Internet! Richtig, nur über den wan1-Port.
Sicherungskanal
Wir steigen in die Konfiguration ein, um der Gruppe der WAN-Ports ein USB-Modem und ein Android-Telefon hinzuzufügen. In „Konfiguration → Schnittstellen“ wird nur das Hi-Link-Modem aktiv. Das Androidphone wurde nicht erkannt.
In den Verbindungseigenschaften können Sie die Kanalprüfung festlegen durch:
icmp oder tcp an die Gateway-Adresse oder speziell angegeben und auch die Parameter einer begrenzten Verbindung einstellen, zum Beispiel entsprechend dem Verkehrsaufkommen, wenn der Betreiber es begrenzt hat.
Als nächstes müssen wir die Freigabe von Clients über dieses Modem zulassen. Ich habe es dem Kanal gleichgesetzt, den ich in wan1 gesteckt habe:
Klicken Sie unten auf "Übernehmen" und fertig! Das gesamte Netzwerk durchläuft zwei Kanäle gleichzeitig.
Verbinden Sie WiFi
Hier ist es etwas komplizierter.
Bearbeiten eines Sicherheitsprofils.
Konfiguration → Objekte → Access Point-Profile → SSID → Liste der Sicherheitsprofile. Wählen Sie das Standardprofil und klicken Sie auf "Bearbeiten":
Wir geben wpa2 und direkt unter dem Netzwerkschlüssel an.
Speichern Sie und gehen Sie zur nächsten Registerkarte "SSID-Liste". Wir bearbeiten das Profil "Standard", indem wir den Namen für unseren Punkt festlegen.
Wir haben die Einstellungen für die Standardpunkte für uns selbst bearbeitet.
Jetzt können wir automatisch "leere" Punkte registrieren.
Natürlich, um den Installationsprozess zu erleichtern. Wir fügen Punkte in den PoE-Schalter ein. Der Switch ist im LAN-Port (p4-p7) enthalten. Und ... und das war's. Punkte werden automatisch erkannt und mit einer Konfiguration versehen.
Schalten Sie die automatischen Fangpunkte aus. Plus an Sicherheitskarma.
Klicken Sie auf "Übernehmen" und genießen Sie das neue Netzwerk.
Was weiter?
Wir gehen tief in die Sicherheit. Es lebe das Netzwerk, sowohl außen als auch innen geschützt! Das unabdingbare Gesetz eines guten Bürokaufmanns ist, nur den Solitaire Solitaire aus allen Vergnügungen herauszulassen!
Die App Patrol-Funktion hat mir sehr gut gefallen. Sie müssen sich nicht die Mühe machen, Regex-Anweisungen zum Filtern von L7 zu schreiben, wie in Mikrotik. Es ist schon da. Sie müssen nur zur Politik beitragen, und das war's.
Blockieren von Instant Messenger, Online-Spielen oder sozialen Netzwerken ohne Schweiß, Blut und Tränen junger Administratoren.
Ein Dashboard ist wie die meisten Chefs es lieben: mit Bildern und Grafiken. Sie können sehen, wohin die Anrufe am häufigsten gehen, was blockiert ist und wie viel usw.
Zyxel verfügt über ein zentrales Managementsystem Nebula, das von mir ausgestellten Wi-Fi-Punkten unterstützt wird. Auf den ersten Blick ist es
SDN , das in großen Rechenzentren aktiv implementiert wird. Aber dieses Thema ist ein anderer Artikel :-)
Und dann hat der Laptop auf den Freiflächen des globalen Netzwerks bereits
Anweisungen mit mehr als 800 Seiten und ungefähr der gleichen Menge an
Handbuch gefunden .
Lizenzen
Leider ist die Lizenz für aktualisierte Signaturdatenbanken nicht endlos, und nach der ersten Aktivierung des Gateways werden die Signaturen innerhalb eines Jahres aktualisiert. Als nächstes müssen Sie Ihr Abonnement verlängern.
Ein jährliches Goldabonnement kostet 38.600 Rubel und Silber 29.000.
Es ist jeweils eine Frage des Nutzens. Mit ATP200 können Sie beispielsweise einen schwachen Administrator für 30.000 pro Monat behalten und eine Lizenz für 40.000 pro Jahr kaufen oder Mikrotik mit add verwenden. Server (in der Nähe von Surikatu) und halten Sie einen "bärtigen" Administrator für 80.000 pro Monat.
Fazit
Für mich die Vorteile der Zyxel-Drüsen, auf die ich gestoßen bin:
- einfache Einrichtung;
- Mangel an „Krücken“ für typische Aufgaben;
- Funktionalität, die für ein Büro in einem Stück Eisen erforderlich ist;
- Einfachheit der Sicherheitseinstellungen;
- Anforderung, ein PASSWORT zu setzen.
Die Funktionalität des Zyxel ATP200-Gateways ist sehr umfangreich. Darüber hinaus ist vieles in einer Hardware implementiert, und es ist nicht erforderlich, eine komplexe Struktur wie
Mikrotik + Suricata zu blockieren.
Auch hier ist die Grundfunktionalität einfach und in kurzer Zeit bereitzustellen.
Natürlich gibt es auch Nachteile. Sie müssen sich an die Konfigurationslogik gewöhnen. ATP200 kennt nur wenige Tunnelprotokolle und ist beispielsweise nicht zum Weiterleiten eines SSTP-Tunnels geeignet.
Alle Geräte müssen für bestimmte Aufgaben ausgewählt werden.
Das Training zum Arbeiten mit Zyxel-Geräten (ZCNA) ist billiger als bei Wettbewerbern - 15.000 Rubel! Offizielle MTCNA - ab 22.000 Rubel. Cisco ist sicherlich nicht im Wettbewerb - sowohl in Bezug auf die Vielfalt der Kurse als auch in Bezug auf die Kosten - und nähert sich den Details eines Flugzeugs.
Aufgrund der Tatsache, dass nicht jeder auf Habré Kommentare abgeben kann und ich keinen gültigen Zyxel-Chat in Telegram gefunden habe, habe ich
@zyxelru erstellt . Ich lade Sie ein, Fälle, Einstellungen und andere Tricks der Verwendung von Zyxel-Geräten sowie Ideen für neue Artikel über das Habr für die Serie „Auf der Suche nach der Schaltfläche„ Gut machen ““ zu besprechen.